Apache Tomcat修补了重要的远程代码执行缺陷

Apache Tomcat是由Apache软件基金会（ASF）开发的，是一个开源的Web服务器和servlet系统，它使用java java Servlet、JavaServer页面（JSP）、表达式语言和WebSoCo等java EE规范，并提供一个“纯java”HTTP Web服务器环境，用于Java概念运行。

Apache Struts2漏洞最近被用来破坏美国信用报告机构Equifax的系统，与此不同，Apache Tomcat漏洞不太可能被利用。
Apache Tomcat中发现的关键远程代码执行（RCE）漏洞（CVE-2017-12617）是由于受影响软件未充分验证用户提供的输入。

只有启用了HTTP PUTs（通过将默认servlet的“只读”初始化参数设置为“false”）的系统才会受到影响。

Alphabot的Peter Stöckli说：“9.0.1（Beta）、8.5.23、8.0.47和7.0.82之前的Tomcat版本在所有操作系统上都包含一个潜在的危险远程代码执行（RCE）漏洞，如果默认servlet的参数readonly设置为false，或者WebDAV servlet的参数readonly设置为false。”安全

利用此漏洞需要攻击者将恶意构建的Java Server Page（JSP）文件上载到运行受影响版本Apache Tomcat的目标服务器，服务器在请求该文件时将执行JSP文件中包含的代码。
要上传恶意构建的JSP，攻击者只需向易受攻击的服务器发送HTTP PUT请求，正如Peter在Apache邮件列表上发布的概念证明（PoC）攻击代码所述。
该漏洞最终将允许攻击者在目标服务器上执行恶意代码。

彼得解释说：“由于通常不需要此功能，最公开的系统不会将readonly设置为false，因此不会受到影响”。

这个标记为“重要”的RCE漏洞会影响所有Apache Tomcat 9.0.0版本。M1到9.0.0，8.5.0到8.5.22，8.0.0。RC1到8.0.46和7.0.0到7.0.81，Tomcat版本9.0.1（Beta）、8.5.23、8.0.47和7.0.82的发布已经解决了这一问题。

在Windows上的Tomcat 7中发现的类似安全问题（CVE-2017-12615）在9月19日7.0.81版发布后，Apache Tomcat开发人员进行了修补。

强烈建议管理员尽快应用软件更新，并建议仅允许受信任的用户访问网络以及监视受影响的系统。

研究人员尚未在野外发现任何利用Apache Tomcat漏洞的事件。